국가안전보장을 위한 사이버 개념 정립 2탄으로 사이버 개념 연구회(회장 : 이기종님)의 연구위원 최승연님, 김현주님을 만나 사이버 개념 중 실생활에도 피해를 입히는 랜섬웨어와 워터링 홀, 그리고 진화하는 전자금융 사기와 좀비PC에 대해 인터뷰하고 이에 대한 사이버 개념을 정립해 보았다.

 

   사이버인질극, 랜섬웨어 

  최근 들어 랜섬웨어(Ransomware)가 기승을 부리고 있다. 유명 온라인 커뮤니티 홈페이지 광고 배너를 통해 랜섬웨어가 유포되어 대규모 피해를 발생시켰다. 특히 공공기관이나 기업, 병원, 학교 등으로 확산하고 있어 그 문제점이 심각하다 하겠다.

 그렇다면 랜섬웨어는 무엇인가?
  
 랜섬웨어란 인질의 몸값을 뜻하는 ‘랜섬(Ransom)’과 제품을 뜻하는 ‘소프트웨어(Software)’의 합성어이다. 즉, 랜섬웨어란 악성 코드로 PC, 스마트폰 등을 감염시킨 후 금품을 요구하는 사이버 범죄를 말한다. 랜섬웨어는 주로 해킹 메일이나 웹 브라우저(Internet Explorer, Safari, Chrome 등)의 취약점을 이용해 감염자의 PC에 저장된 문서나 중요한 데이터를 공격자가 생성한 비밀키로 암호화 시킨다. 이렇게 암호화된 데이터는 오직 공격자만 알 수 있는 임의의 암호를 통해서만 해독할 수 있게 된다. 공격자는 자기의 암호 없이 못쓰게 하고 이 암호를 해독해 주는 조건으로 엄청난 금전을 요구하는 것이다.

이러한 이유로 공격자가 사용자의 데이터를 볼모로 잡고 있다고 하여 일명 ‘사이버 인질극’이라고 한다. 이런 사이버 범죄는 사이버 상에서 비트코인(Bitcoin, 즉 가상 화폐)을 이용한 익명의 금전 거래가 보장됨에 따라 증가하고 있는 추세이다. 비트코인은 실명 인증 없이 국내외 환전 사이트(1비트코인 당 한화 80만 원 정도)를 통해 거래되어 수사기관의 계좌 추적이 어렵다는 점에서 악용되고 있는 것이다.
       
 최승연 사이버 개념 연구위원은 이러한 사이버 인질극인 랜섬웨어를 방지하기 위해서는 “랜섬웨어가 일단 감염되면 돈을 지불하지 않고는 파일을 해독하는 것이 사실상 불가능하기에 먼저 외장 하드나 클라우드 서비스 등을 이용하여 중요한 파일은 무조건 분산 보관하는 것이 중요하다”고 이야기한다.

또 “인터넷에서 파일을 다운로드하면 자신이 내려 받은 파일의 종류와 실제 확장자가 같은지 비교한 후 실행하는 습관을 들여야 한다”는 것이다. 무엇보다 “블로그나 카페에 업 로드된 파일을 바로 내려 받기보다는 배포사의 공식 홈페이지에서 내려 받는 것이 안전하다”고 강조했다.

“출처가 불분명하거나 모르는 사람으로부터 수신된 의심스러운 메일은 열람하지 말고 즉시 관련 기관(민간: 한국인터넷진흥원, 군: 국군사이버사령부 등)에 신고하여 다른 피해자가 발생하지 않도록 해야 한다”고 설명했다.

 특정표적 노리는 공격, 워터링 홀

 대형 개인정보 유출사고는 어제 오늘의 일이 아니다. 2011년에 어느 사이트 회원 3,500만 명의 개인정보가 유출되었고, 2014년 카드 3사에서 1억 580만 명의 고객 개인정보가 유출되어 큰 파장을 불러일으켰다. 그런데도 불구하고 최근 한 인터넷 쇼핑몰이 1,030만 명의 고객 개인정보가 악성 해커의 APT 공격에 의해 유출되어 여론의 뭇매를 맞았다. 이러한 대량 개인정보 유출 사건과 같이 해커들은 해킹을 본인이나 조직의 목적을 달성하기 위한 수단으로 활용하고 있다.

기존의 보편적인 공격 방식보다 지능화된 표적 공격을 통해 원하는 목적을 달성하는데, 대표적인 공격으로는 워터링 홀(Watering Hole) 공격이 있다. 워터링 홀이란, 사전적인 의미로 물웅덩이라는 뜻이다. 이는 사자가 먹이를 습격하기 위해 물웅덩이 근처에서 매복하고 있는 모습을 빗댄 말로, 사용자가 덫에 걸리기를 기다렸다가 사용자의 PC에 악성 코드를 감염시켜 원하는 정보를 갈취하는 사이버 공격을 의미한다.

  즉, 일반인들이 상시로 방문하는 사이트들이 아니라 특정 기관이나 기업에 관련된 인사들만 접근하는 사이트를 선별한 후 해당 사이트에 악성코드를 심어, 관련 인사를 직접 공격한다. 이를 위해 공격자는 표적(공격 대상)의 인터넷 사용 패턴을 분석하여, 자주 방문하는 웹 사이트 목록을 식별한 뒤 사이트의 취약점을 파악하여 해킹이 가능한 웹 사이트에 악성코드를 삽입해 표적이 해당 홈페이지에 접속했을 때, 악성코드를 감염시킨 후 원하는 정보를 탈취한다. 실제 워터링 홀 공격은 산업스파이가 기업의 기밀정보를 빼내기 위해 사용한 사례가 많았다. 최근에도 대기업 및 공공기관을 대상으로 공격이 증가하는 추세이다.

   최승연 사이버 개념 연구 위원은 방위산업체, 안보 관련 연구소, 동기회 사이트 등의 안보 관련 사이트도 공격 대상이 될 가능성이 크기 때문에 인터넷을 이용하는 담당자들은 다음과 같은 세가지 주의가 필요하다고 말한다. 첫째, 인터넷 서핑을 하면서 지나치게 자극적인 게시 글을 발견하거나, 의심스러운 URL 링크를 클릭하도록 유도한다면 접속을 자제해야 한다. 둘째, 최소한의 보안조치인 백신을 설치하고 실시간 감시기능을 실행해야 한다. 셋째, 윈도 및 각종 응용프로그램 업데이트에는 취약점에 대응하는 보안패치가 포함되어 있으므로 자동업데이트 기능을 실행시켜 최신 버전을 유지해야 한다.

 

 진화하는 전자금융 사기
 
 어느 시골 할아버지에게 한 은행직원이 통장의 돈이 다 인출되어서 은행에서 그 돈을 찾아주기 위해서 그러니 통장번호와 비밀번호를 달라는 전화가 걸려왔다. 할아버지는 가는귀가 먹어 잘 안 들린다며 고래고래 고함을 쳤고, 은행직원은 스무 번 이상 같은 말을 되풀이했다.

못 알아듣는 할아버지에게 설명하다 지친 은행직원이 30분이 지나자 거의 포기하다시피 전화를 끊으려 하자 이제 이해했다는 듯이 할아버지는 다급한 목소리로 말했다.

“내 돈이 다 인출되었다고요? 어떻게 하지요?”

“네, 통장번호와 비밀번호를 제게 가르쳐주시면 됩니다.” 은행원은 다시 할아버지와 이 말에 대해 열 번 이상의 고성이 오갔고, 끝내 할아버지께서는 통장을 찾아 번호를 부르기 시작했다.

은행직원은 이제 되었구나 싶어 더욱 친절한 목소리로 받아 적기 시작했다.

 “네, 말씀하셔요. 할아버지”

 “은행은요, 농협이고요. 농협 맞나요?”

 “예, 예, 맞습니다. 번호 부르세요.”

 “번호요, 그런데 말이지요?”

 초조한 은행직원의 말에 할아버지는 대뜸 이렇게 말하고 전화를 끊었다고 한다.

 “제 통장은 마이너스 통장인데 통장에 무슨 돈이 있었겠어요?”

 이 사례는 보이스 피싱을 잘 대처한 실화로 그 할아버지는 필자의 아버지셨다.

 금융사기는 보이스피싱 뿐만이 아니다. 더욱이 아직도 전자금융사기가 들끓고 있다 해도 과언이 아니다. 그 수법이 계속 진화하여 이에 대해 잘 알고 있는 젊은 사람들도 막상 본인에게 그 일이 일어나면 당하기 십상이다. 전자금융거래에서도 피싱(Phishing) · 파밍(Pharming) · 스미싱(Smishing) 등 다양한 사기 수법들이 이용자들을 노리고 있는데 진화해 가는 전자금융 사기의 용어를 살펴보면 다음과 같다.

 피싱은 메일을 통해 금융 사이트로 위장된 홈페이지에 접속하도록 유도해 피해자의 개인정보를 알아내는 방법이다. 이용자가 자주 이용하는 홈페이지의 주소를 확인하지 않는다는 점을 이용한 것이다.

 파밍은 피싱 피해를 방지하기 위한 근절 대책이 나옴에 따라 PC를 악성 코드에 감염시켜 금융기관의 홈페이지에 정상적으로 접속해도  해커가 조작한 악성 사이트로 연결되도록 유도하는 것이다.

 스미싱은 악성 앱 주소가 포함된 휴대전화 문자를 대량으로 전송한 후 이용자가 악성 앱을 설치하도록 유도해 금융정보 등을 탈취하는 것이다. 

 최근에는 악성 코드가 메모리 내에 상주해 정상적인 금융거래에서 계좌와 비밀번호만을 훔쳐내는 등 갈수록 수법이 지능화되고 진화하고 있다.

 김현주 사이버 개념 연구위원은 “안전한 전자금융거래를 위해 이용자는 ”첫째, PC는 윈도우, 백신 등을 최신 상태로 유지하고 OTP(일회성 비밀번호 생성기), 보안토큰(비밀번호 복사 방지) 등 사기예방 서비스를 활용하라“고 주문했다.  ”둘째로 스마트폰은 공식 앱 마켓을 통해 애플리케이션을 설치하고 알 수 없는 출처의 앱은 설치하지 말아야하고, 피해가 발생하면 관련 기관(경찰청·금융감독원 등)에 즉시 신고하고, 통신사와 금융기관에 피해보상을 신청해 금전적 피해를 최소화해야한다” 고 설명한다.  ”셋째, 금융사기의 표적이 되는 금융기관과 공공기관은 관리 홈페이지와 유사한 홈페이지가 제작돼 해킹에 악용되지 않도록 주기적인 점검을 하고 이상 징후가 발생하면 즉시 사고 사례를 공지해 더는 피해가 없도록 해야 한다”고 강조했다.

 참고로 금융회사 사이트와 유사 사이트에서 각종 비밀번호 입력을 요구하는 인터넷 사이트를 발견하면 금융감독원(☎1332)과 한국정보보호진흥원(☎118), 경찰청(☎02-3939-112)에 신고하면 된다.

 

  DDos 공격의 핵심, 좀비 PC!

 인기 연예인 콘서트나 명절 기차표를 예매할 때 혹은 수강신청이나 합격자 발표 시 대부분의 사람들은 온라인 사이트에 접속이 되지 않아서 페이지 ‘새로 고침’을 계속 눌러본 경험이 있다. 이것은 고장이 난 것이 아니라 사이트에 수용 가능한 수보다 많은 인원이 동시에 접속해서 생기는 일시적인 현상일 뿐이다. 그런데 이렇게 과다 접속하는 것을 공격에도 이용하는 사람들도 있다. 이러한 사이버 공격을 분산 서비스 거부 즉 DDoS(Distributed Denial of Service) 공격이라고 한다.

 DDoS 공격은 악성 코드를 여러 대의 컴퓨터에 분산 배치하고, 공격 목표 사이트가 처리할 수 없을 정도의 대량 접속을 동시에 유발해 네트워크 성능을 저하시키거나 시스템을 마비시키는 것을 말한다. 특히 해커는 해킹 메일이나 워터링 홀 공격 등 다양한 방법으로 일반 사용자의 PC를 감염 시킨다.  일반 사용자의 감염된 PC 즉 ‘좀비 PC’가 만들어지면, 좀비 PC들은 해커의 명령에 따라 특정 사이트를 특정 시간대에 공격하게 된다.

좀비pc 공격 삽화 : 사이버 개념 연구회 제공

  이러한 사례로 2011년 3월 4일, 파일 공유 사이트를 통해 악성 코드를 유포시켜 좀비 PC 10만 대를 만든 해커가 주요 정부기관· 포털 등 40개 홈페이지에 DDoS 공격을 해 서비스를 일시적으로 마비시킴으로써 국가적 혼란을 일으킨 적이 있다. 최근에는 유명 증강현실 게임을 대상으로 사용자의 혼란을 일으키고 게임 서비스를 중단시키는 등 이러한 피해 사례가 지속적으로 발생하고 있다. 이처럼 서비스를 마비시켜 사용자의 불편을 초래하는 DDoS 공격은 짧은 시간에도 치명적인 피해를 준다. 따라서 지속적인 서비스 운영이 필수적인 쇼핑몰이나, 이런 일로 국민 신뢰도 저하를 초래할 수 있는 공공기관에서 특히 주의해야 한다.

 김현주 사이버 개념 연구위원은 “서비스 제공자는 DDoS 방어 체계를 구축하고, DDoS 공격을 받으면 인터넷상의 안전지대인 사이버대피소로 서비스를 우회시켜 원활한 서비스가 제공될 수 있도록 대비해야 하며, 사용자는 자기의 컴퓨터가 자신도 모르게 좀비 PC로 활용될 수 있으므로 운영체제에 적합한 최신 보안패치를 적용하고 신뢰할 수 없는 액티브 X는 설치하지 않는 등 보안 대책을 준수해야한다” 고 강조했다.

[디펜스 투데이]